國內首起黑客篡改中獎結果案件,隨著犯罪嫌疑人的落網似乎大白天下了:一個黑客“單槍匹馬”地入侵安全保障系統極高的中國彩票系統的數據庫。但在隨後幾天內,一個問題卻難以“大白天下”:黑客為什麼能夠輕而易舉地進入彩票網絡系統?直到昨天,深圳市福利彩票發行中心主任王簡作出回應,似乎給出了答案:在安全防範方面,我們的監管部門、上級主管部門早已頒發了許多規範性文件,但我們對這些規範性文件的落實有疏忽,有個別的制度落實不到位。
上午9點左右,在深圳某小區經營著一家彩票投注站點的黃威,如往常一樣,開始了一天的彩票營業。
“這兩天都被吵死了,買彩票的人掏錢之前,總是先問一句‘今天有黑客沒’。”黃威搖頭苦笑著對記者説。
“你怎麼回答?”記者問。
“我哪知道呦。只能説黑客不是被抓住了嗎。”黃威笑笑説。
記者走了幾家投注站點,發現他們與黃威一樣陷入了尷尬的境地,而他們的尷尬,都源於發生在深圳的轟動全國的“網絡黑客篡改福彩案”。
“3000萬福彩大獎的得主突然變成惡意篡改彩票數據的詐騙犯,這樣的落差一時間不論是我們這些經營彩票的人,還是彩民或者是普通民眾都難以接受。”黃威坦言,面對眾多彩民的疑惑,自己不知道能解釋到什麼時候,能堅持多久,因為在他心中也劃著這樣一個問號———黑客會不會再來?
案件回放木馬篡改彩票數據
今年6月9日,雙色球第2009066期如期開獎,中獎號碼為:紅球“02、15、19、24、31、32”,藍球“04”。福彩部門公佈,全國共中一等獎9注,廣東當期攬得5注單注661萬多元一等獎,且全部落在深圳。同時,來自福彩部門信息系統顯示,深圳的中獎彩票是一張機選5倍的單式票,投注額僅10元,由深圳市福田區益田路上的一家投注站售出,也就是説,這5注頭獎由一個人獨中,總獎金達到3305多萬元。
然而,中獎結果公佈後兌獎人卻遲遲未現身。據了解,在該期彩票開獎後一週、兩周、領獎一週倒計時以及領獎倒數三天等時間,深圳、廣州各大媒體均利用電視、網絡以及其他傳播途徑提醒大獎得主儘快領獎。
就在大家翹首期盼這位“幸運兒”出現時,深圳警方突然向社會公佈了一個令人唏噓的消息———這位“3000萬先生”之所以千呼萬喚之下久未露面,是因為在開獎後的第3天就被警方抓獲,而這個千萬大獎,也是這位大獎得主利用網絡“木馬”程序,惡意篡改開獎彩票數據的結果。
就此,鉅額棄獎事件在人們的一陣詫異聲中,成為了一起詐騙案件,而這暗藏在三千余萬大獎背後的驚天騙局也被慢慢揭開。
根據深圳市公安局的調查結果顯示,6月9日,深圳市福田福彩中心在雙色球第2009066期開獎(程序)結束後,為核驗那5注中獎彩票的真實性,該福彩中心工作人員對上傳中彩中心的數據備份文件進行對比校驗後,發現備份數據中該彩票的投注號碼並非中獎號碼,即該彩票未中一等獎。在會同中彩中心對深圳上傳數據文件再次進行中獎數據校驗,仍得出同樣結果。因此,深圳福彩中心懷疑有人非法入侵該中心銷售系統,篡改該張彩票數據記錄,人為製造一等獎。6月10日淩晨2點,深圳市福彩中心工作人員報警。
經過初步調查,警方決定,一方面,由深圳福彩中心對被篡改的雙色球5注一等獎在兌獎環節進行監控,以防止該彩票持有者兌獎;另一方面,與深圳市公安局網警支隊聯絡,迅速實施布控。
6月12日下午,犯罪嫌疑人程某被警方抓獲。經審訊,程某如實交代了作案過程———作為深圳市某技術公司軟體開發工程師,他利用在深圳福彩中心實施其他技術合作項目的機會,通過木馬攻擊程序,惡意篡改彩票數據,以達到偽造一等獎牟取非法利益的目的。
追根尋源安全監管存有漏洞
“萬一有一天我中獎了,被篡改了怎麼辦?”
“這麼重要的數據,關係著千萬彩民的利益的數據,黑客都可以輕而易舉地改掉,讓我每次買彩票時都要猶豫一下。”
……
在黃威的投注站點,幾位彩民向記者説出了他們對彩票網站安全的擔心。
“黑客究竟是怎樣進入彩票網站進行數據更改的?”採訪中,黃威幾次問到這個問題。
記者也曾試圖揭開這個謎團,但截至發稿前,記者就此案一些細節向警方諮詢時,深圳市公安局負責對外宣傳的有關工作人員表示,由於警方沒有得到有關部門的授權,暫不能對案情作任何細節的透露。
不過,這一疑問,在深圳市福利彩票發行中心主任王簡7月14日就此案安全監管問題對媒體的回應中,或許可以找到答案。
王簡解釋説,彩票行業的安全主要有三方面,一個是技術方面的安全,一個是人員方面的安全,還有一個內部流程方面的安全。特別是技術這一方面,又有幾層面的安全,一是經銷商和銷售終端方面的接入安全;一是通訊網絡的安全,彩票本身的安全;還有交易完整性的安全;開獎的安全;操作系統的安全;數據中心和機房的安全,還有最後的兌獎安全。那麼這一次發生的事主要還是跟技術系統有關係。
王簡介紹説,這次我們主要是想上一個數字終端的項目,這個犯罪嫌疑人是我們合作公司的一個軟體開發人員,他在這個項目中負責數字終端的一些調試和軟體的研發。在安全防範方面,我們的監管部門、上級主管部門早已頒發了許多規範性文件,強調要加強發行銷售的安全管理、開獎日數據的管理和按照規程來進行彩票的開獎驗獎以及系統的數據管理。但我們對上級監管部門和主管部門這些規範性文件的制度的落實有疏忽,有個別的制度落實不到位。比如,這個犯罪嫌疑人原則上是不能接觸我們的系統的,如果是要進行服務和合作的話,也要有登記、有審計、有現場監控。(本報記者 遊春亮 本報實習生 陳曉君)
責編:汪蛟龍
留言要注意語言文明,此間評論僅代表個人看法 查看留言